CVE-2026-9240 in Colissimo Officiel Plugin
Resumen
por VulDB • 2026-07-09
El plugin para WordPress Colissimo Officiel : Méthodes de livraison pour WooCommerce es vulnerable a la modificación no autorizada de datos debido a una falta de comprobación de capacidades en la función updateShippingMethod() (registrada con la acción AJAX wp_ajax_lpc_order_affect) en las versiones 2.9.0 y anteriores. Esto se debe a que el controlador no realiza ninguna comprobación de capacidad mediante current_user_can() ni verificación nonce antes de leer un order_id proporcionado por el atacante y modificar el método de envío, los metadatos del punto de recogida (pickup-point meta) y la dirección de envío de dicho pedido. Esto permite a atacantes autenticados con acceso de nivel Suscriptor o superior crear o modificar la información de envío (método de envío, datos de puntos de recogida intermedios y dirección de envío) de pedidos arbitrarios de WooCommerce, incluidos los realizados por otros usuarios.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.